[SECURITY-L] CAIS-Alerta: Atividade do Trojan QHosts-1
Security Team - UNICAMP
security em unicamp.br
Seg Out 6 14:24:16 -03 2003
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Atividade do Trojan QHosts-1
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 3 Oct 2003 16:21:59 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS tomou conhecimento de que esta' circulando na Internet um
novo trojan chamado QHosts-1, que explora a falha do Internet Explorer
ainda nao corrigida para modificar as configuracoes DNS do computador
infectado, com objetivo de redirecionar as requisicoes feitas pelo usuario
para dominios especificos.
O malware infecta maquinas que estejam executando Windows 2000 ou
Windows XP, atraves de Pop-ups que aparecem quando o usuario acessa
determinados sites.
A sequencia de infeccao e' listada abaixo:
1. O usuario e' direcionado a um web site que contem o codigo malicioso
2. Um script em Visual Basic e' automaticamente executado, gravando o
arquivo AOLFIX.EXE no diretorio %TEMP%.
3. O arquivo AOLFIX.EXE e' executado imediatamente, executando diversas
operacoes.
4. O script cria o arquivo O.BAT, que e' executado ao final para remover
os arquivos AOLFIX.EXE e O.BAT.
As mudancas efetuadas no sistema contaminado sao:
1. O arquivo HOSTS e' criado no diretorio %WinDir%\Help, redirecionando
sites de busca mais populares para o endereco IP 207.44.220.30.
2. A chave de registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"DataBasePath" = %SystemRoot%\help e' criada para modificar o path do
arquivo HOSTS.
3. A configuracao de DNS e' alterada, passando a ser 69.57.146.14 e
69.57.147.175.
4. A chave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\windows
"r0x" = your s0x e' criada
5. Um arquivo de controle chamado winlog e' criado dentro do diretorio Windows
6. O diretorio c:\bdtmp\tmp e' criado.
7. Diversas chaves de registro do Internet Explorer sao criadas ou
modificadas, como segue:
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Search Bar" = http://www.google.com/ie
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Use Search Asst" = no
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl "(Default)" = http://www.google.com/keyword/%s
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Search Page" = http://www.google.com
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl "provider" = gogl
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search "SearchAssistant" = http://www.google.com/ie
As instrucoes para desinfeccao do sistema contaminado:
1. Desabilitar a opcao Active Scripting no Internet Explorer
2. Remover os arquivos %WinDir%Help\hosts e %WinDir%\winlog
3. Modificar a seguinte chave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"DataBasePath" = %SystemRoot%\System32\drivers\etc
4. Remover a seguinte chave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\windows "r0x"
5. Reconfigurar as opcoes de DNS novamente.
Maiores informacoes podem ser obtidas em:
http://vil.nai.com/vil/content/v_100719.htm
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-032.asp
http://www.rnp.br/cais/alertas/2003/cert-in-200304.html
O CAIS recomenda aos administradores manterem seus sistemas e aplicativos
sempre atualizados, de acordo com as ultimas versoes, correcoes ou
solucoes de contorno disponibilizadas pelos fabricantes ou grupos de
seguranca de renome na area.
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBP33MYekli63F4U8VAQGiCwQAoFrif+nvGqyli5U0rYqhkTDO7c7shTAE
IyxWjEQndRwsS7GW0PtyzzkQ3vNnYFNELoFyX8rkymOE8juHSTjqLxPHAs+9P65I
m9tuTDqa7hA0ipFQPOo82DbuFgUTny6t1KR8vtOvxpzv3hMEhBRZvj6N/f8c0a+O
51TMwZgxK+U=
=OlAe
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L